1. Quem somos
SafeNode ("nos", "nosso") e um servico de gerenciamento de credenciais com criptografia zero-knowledge, acessivel em safenode.dev. Esta politica descreve como coletamos, usamos, armazenamos e protegemos seus dados pessoais em conformidade com a Lei Geral de Protecao de Dados (LGPD — Lei 13.709/2018).
2. Dados que coletamos
2.1 Dados fornecidos por voce
- Conta: nome, email e senha (armazenada como hash Argon2id — nunca em texto puro)
- Credenciais do vault: criptografadas com AES-256-GCM no seu navegador antes de chegar ao servidor. O servidor nunca tem acesso ao conteudo decriptado (arquitetura zero-knowledge)
- Dados de pagamento: processados integralmente pelo Stripe. Nao armazenamos numero de cartao, CVV ou dados bancarios em nossos servidores
2.2 Dados coletados automaticamente
- Logs de auditoria: endereco IP, user-agent, timestamps e acao realizada — para seguranca e deteccao de acesso nao autorizado
- Dados tecnicos: cookies de sessao JWT, preferencias de tema (dark/light)
3. Criptografia zero-knowledge
Suas credenciais sao criptografadas no seu dispositivo com uma chave derivada da sua passphrase usando Argon2id (64 MB de memoria, 3 iteracoes) antes de serem enviadas ao servidor. A chave e encapsulada com AES-256-GCM.
O servidor nunca tem acesso a sua passphrase ou aos dados decriptados. Mesmo em caso de violacao do banco de dados, seus dados permanecem inacessiveis sem a sua passphrase.
4. Base legal e finalidade do tratamento
- Execucao de contrato (Art. 7o, V): autenticacao, gerenciamento de sessao, armazenamento de credenciais, processamento de assinatura
- Legitimo interesse (Art. 7o, IX): logs de auditoria para seguranca da conta e prevencao de fraude
- Consentimento (Art. 7o, I): comunicacoes opcionais sobre o servico
5. Pagamentos e dados financeiros
Os pagamentos sao processados pelo Stripe, Inc., certificado como PCI DSS Level 1. Armazenamos apenas o identificador do cliente Stripe (stripe_customer_id) e o status da assinatura. Para a politica de privacidade do Stripe, consulte stripe.com/privacy.
6. Compartilhamento de dados
Nao vendemos, alugamos ou compartilhamos seus dados com terceiros para fins de publicidade ou marketing.
Compartilhamos dados apenas com:
- Stripe: para processamento de pagamentos
- Provedores de infraestrutura: servidores e banco de dados (os dados do vault permanecem criptografados)
- Autoridades legais: quando exigido por lei ou ordem judicial
7. Retencao de dados
- Dados da conta: mantidos enquanto a conta estiver ativa
- Logs de auditoria: conforme o plano contratado (7 a 365 dias, ou ilimitado)
- Dados de pagamento: mantidos conforme obrigacoes fiscais (ate 5 anos apos o cancelamento)
8. Seus direitos (LGPD)
Voce tem direito a:
- Confirmar a existencia de tratamento dos seus dados
- Acessar, corrigir ou atualizar seus dados pessoais
- Solicitar a anonimizacao, bloqueio ou eliminacao de dados desnecessarios
- Solicitar a portabilidade dos dados
- Revogar o consentimento a qualquer momento
- Solicitar a exclusao completa da conta e dados associados
Para exercer qualquer desses direitos, entre em contato pelo email abaixo. Responderemos em ate 15 dias uteis.
9. Seguranca
- Criptografia AES-256-GCM para dados em repouso
- TLS 1.3 para dados em transito
- Derivacao de chave com Argon2id (64 MB, 3 iteracoes)
- Tokens com hash SHA-256 (nunca armazenados em texto puro)
- Rate limiting e protecao contra forca bruta
- HSTS, CSP e headers de seguranca padrao OWASP
10. Alteracoes nesta politica
Podemos atualizar esta politica periodicamente. Alteracoes significativas serao comunicadas por email ou aviso no servico. O uso continuado apos a publicacao de alteracoes constitui aceitacao da politica revisada.
11. Contato
Para questoes sobre privacidade, solicitacoes de exclusao de dados ou exercicio de direitos previstos na LGPD:
contato@safenode.dev